ネプラスのテックブログ。ネットワーク、クラウド、サーバなどのITインフラ情報を中心に発信中。

  1. ネプラス インフラエンジニア採用
  2. テックマガジン
  3. セキュリティ
  4. SQLインジェクションへの対策方法7つ|SQLインジェクションの事例

SQLインジェクションへの対策方法7つ|SQLインジェクションの事例

  • セキュリティ
  • データベース
  • テクノロジー
  • プログラミング
公開日時:   更新日時:
SQLインジェクションへの対策方法7つ|SQLインジェクションの事例
この記事でわかること
    基本情報技術者試験の試験対策はこちら>>

    SQLインジェクションとは?


    SQLインジェクションとは、アプリケーション上でユーザーが入力可能なテキストボックスなどを利用して、不正にデータベースを操作、検索するSQL文を入力する攻撃手法です。

    例えば、IDとパスワードを入力する欄の条件が、「ID=入力したID AND PASS=入力したPASS」でログイン可能であれば、パスワード入力欄に「”B” OR “A”=”A”」と入力すれば、IDとパスワードが合わずとも、AがAであるという当たり前の条件に当てはまります。

    そのことによってログインできてしまうということです。

    SQLインジェクションによって起こる影響


    SQLインジェクションによって、個人情報の漏洩やウェブサイトの改ざんの危険性があります。

    SQLインジェクションによる被害は大規模になる事例が多くあり、対策を怠れば大惨事になりかねません。

    個人情報の漏洩

    SQLインジェクションによって、個人情報が漏洩してしまう危険性があります。

    SQLインジェクションによる個人情報の漏洩は、個々でIDやパスワードが漏洩したケースとは違い、そのWebサービスを利用している全ユーザーの個人情報が漏洩してしまう可能性があります。

    実際に、SQLインジェクションによる個人情報の漏洩被害があった事例では、一度に多くの顧客情報が流出してしまうケースも数多く存在しています。

    ウェブサイトの改ざん

    SQLインジェクションによって、ウェブサイトを改ざんされてしまう危険性があります。

    Webサイト改ざんでは、Webサイトのサービスを脅かすだけでなく、Webサイトの利用者が巻き込まれ、Webサイトの利用者が改ざんされたページを開いた時にマルウェアが実行されてしまう可能性があります。

    また、データベースを利用した改ざんは大規模な影響になる可能性もあります。

    SQLインジェクションへの対策7つ


    SQLインジェクションへの対策を怠れば、攻撃を受けた際に利用者に多大な被害をもたらし、Webサービスの信用を大きく落とす結果となってしまう可能性があります。

    そうならないためにも、SQLインジェクションへの対策を7つご紹介します。

    対策1:セキュリティソフトの導入

    セキュリティソフトの導入によって、Webサイトの利用者はSQLインジェクションによる攻撃を抑えることができます。

    SQLインジェクションに限らず、さまざまなWeb上の攻撃はセキュリティソフトによって守られます。しかし、これはWebサイトの利用者側の対策であって、Webサイトの管理者側の対策にはなりえないでしょう。

    対策2:エスケープ処理を行う

    エスケープ処理を行うことで、SQLインジェクションの攻撃を防ぐことができます。エスケープ処理とは、プログラム上で特別な意味を持つ文字や記号を、別の文字に変換することです。

    これにより、SQLインジェクションを行う際によく使用される「=」、「”」、「’」などを、データベースに渡る前に、まったく別の文字に変換し、SQLインジェクションによる攻撃を妨げます。

    対策3:権限の設定をする

    正確に権限の設定をすることで、SQLインジェクションによる攻撃を抑えることができます。

    ユーザー、テキストを入力できる場所からのデータベースへのアクセス権限を正確に付与すれば、SQLインジェクションによって想定外のテーブルなどにアクセスされることはなくなるでしょう。

    例えば、SELECTの権限設定を正確に設定すれば、SELECT文によって情報漏洩するリスクはなくなります。

    対策4:想定している文字以外の入力を禁止する

    それぞれの入力欄に対して、想定している文字以外の入力を禁止することによって、SQLインジェクションによる攻撃を抑えることができます。SQLインジェクションでは、特定の文字を利用しなければ、攻撃することが困難な攻撃手法です。

    例えば、郵便番号や電話番号の入力欄には、半角数字以外の入力を禁止することで、SQLインジェクションを行うことを防ぎます。

    対策5:ユーザーが入力可能な場所を減らす

    ユーザーが入力可能な場所を減らすことで、SQLインジェクションによる攻撃を抑えることができます。

    SQLインジェクションでは、ユーザーが直接入力可能なテキストボックスなどを利用して行う攻撃手法なので、その場所を減らすことは対策と考えられます。例えば、住所を入力する欄では、都道府県と市区町村を選択式にして、ユーザーの直接入力可能な場所を減らすことができます。

    対策6:プログラム上でヒントになりうるコメントを残さない

    プログラム上でヒントになりうるコメントを残さないようにすることで、SQLインジェクションによる攻撃を抑えることができます。開発途中で記載したSQL文に関するコメントが、攻撃者にとってのヒントになる可能性があります。

    SQL文そのものを記載したものはもちろん、ヒントになりそうなコメントは極力なくしましょう。

    対策7:ペネトレーションテストを行う

    ペネトレーションテストを行うことで、SQLインジェクションによる攻撃への対策を行うことができます。ペネトレーションテストとは、Webサイトなどの管理側が自らのサイトに攻撃を仕掛け、脆弱性を炙り出すことができるテスト手法です。

    自らSQLインジェクションを行える余地があるかを探り、SQLインジェクションを実行し、成功した場合にはその箇所に対策をすることができます。

    おすすめのSQLインジェクション対策ソフト


    SQLインジェクションの対策になるセキュリティ対策ソフトは数多く存在します。

    コストを抑えたいのであれば「ZERO ウイルスセキュリティ」を、高い実績を得ているソフトを使用したいのであれば「カスペルスキー セキュリティ」がおすすめです。

    また、一つのコンピュータだけでなく多くの端末に対応した対策ソフトを適用したいのであれば「マカフィー リブセーフ」をおすすめします。

    SQLインジェクションの被害事例3つ


    SQLインジェクションの対策を怠ると、大きな被害を起こしてしまう可能性があります。また、SQLインジェクションの対策を十分に行ったつもりでいても、攻撃者はセキュリティホールを見つけ、攻撃を試みます。

    ここからは、SQLインジェクションの標的となってしまい、大きな被害を起こしてしまった事例を3つご紹介します。

    事例1:PlayStation Network個人情報盗難

    この事件では、PSNに大規模なアクセスエラーが生じ、原因はSQLインジェクション攻撃を受けたことだと判明しました。

    多くの個人情報が流出したものの、クレジットカードの情報だけは暗号化していたため、クレジットカードの不正利用の被害を受けることはありませんでした。

    しかし利用者の他にも被害が及んでおり、PSNと共通のネットワークを利用しているQriocityも一時サービス停止に追い込まれました。

    事例2:釣りビジョン個人情報盗難

    この事件ではSQLインジェクションにより、ユーザーの情報を保有するデータベースから個人情報が流出してしまいました。

    この攻撃は脆弱性診断ツールを利用してSQLインジェクションが行われたため、釣りビジョンはこれをきっかけに、さまざまなセキュリティ対策を強化することになりました。

    事例3:政府・自治体・商用サイトの改ざん

    SQLインジェクションによる被害は、政府・自治体・商用サイトまで手が伸びてしまっています。

    政府・自治体・商用サイトなどを改ざんすることによって、攻撃しやすい仕組みを作ったり、悪意のあるサイトへ誘導するなどされ、ユーザーが無意識に自身の個人情報を流出させてしまった事例も数多く存在しています。

    政府・自治体・商用サイトなどの多数のユーザーの情報を持つWebサイトは、攻撃を受けた時のリスクも大きくなるので、対策を十分に行う必要があります。

    SQLインジェクションを防ぐために対策を知っておこう!


    本記事でご紹介した事例のように、SQLインジェクションによる被害は、サービスを利用する全ユーザーに及ぶ可能性があります。

    サービスの管理者は、対策を十分にしなければSQLインジェクション攻撃を受けた際に、ユーザーに多大な被害を与えてしまうので、本記事でご紹介した対策を参考にしてSQLインジェクションに備えましょう。

    ユーザーは、セキュリティ対策ソフトを導入するなどして、改ざんされたWebサイトのマルウェアによる被害を抑えましょう。

    FEnetを運営しているネプラス株式会社はサービス開始から10年以上
    『エンジニアの生涯価値の向上』をミッションに掲げ、
    多くのインフラエンジニア・ネットワークエンジニアの就業を支援してきました。
    ネプラス株式会社ロゴ

    ネプラス株式会社はこんな会社です

    秋葉原オフィスにはネプラス株式会社をはじめグループのIT企業が集結!
    数多くのエンジニアが集まります。

    秋葉原オフィスイメージ
    • インフラ業界に特化

      インフラ業界に特化

      ネットワーク・サーバー・データベース等、ITインフラ業界に特化。Cisco Systemsプレミアパートナーをはじめ各種ベンダーのパートナー企業です。

      業界を知り尽くしているからこそ大手の取引先企業、経験豊富なエンジニアに選ばれています。

    • 正社員なのにフリーランスのような働き方

      正社員なのにフリーランスのような働き方

      正社員の方でも希望を聞いたうえでプロジェクトをアサインさせていただいており、フリーランスのような働き方が可能。帰社日もありません。

      プロジェクト終了後もすぐに次の案件をご紹介させていただきますのでご安心ください。

    • 大手直取引の高額案件

      大手直取引の高額案件

      案件のほとんどが大手SIerやエンドユーザーからの直取引のためエンジニアの皆様へに高く還元できています。

      Ciscoをはじめ、Juniper、Azure、Linux、AWS等インフラに特化した常時300件以上の案件があります。

    • スキルアップ支援

      スキルアップ支援

      不要なコストを削減し、その分エンジニアの方へのスキルアップ支援(ネットワーク機器貸出、合格時の受験費用支給など)や給与で還元しています。

      受験費用例)CCNP,CCIE:6-20万円、JNCIS:3-4万円、AWS:1-3万円など

      ※業務に関連する一定の資格のみ。各種条件がありますので詳しくは担当者へにお尋ねください。

    • 現給与を保証します!

      100%現給与保証

      前職の給与保証しており、昨年度は100%の方が給与アップを実現。収入面の不安がある方でも安心して入社していただけます。

      ※適用にはインフラエンジニアの業務経験1年以上、等一定の条件がございます。

    • インセンティブ制度

      インセンティブ制度

      ネットワーク機器の販売・レンタル事業等、売上に貢献いただいた方にはインセンティブをお支払いしています。

      取引先企業とエンジニア側、双方にメリットがあり大変好評をいただいています。

    • 社会保険・福利厚生

      社会保険・福利厚生

      社員の方は、社会保険を完備。健康保険は業界内で最も評価の高い「関東ITソフトウェア健康保険組合」です。

      さらに様々なサービスをお得に利用できるベネフィットステーションにも加入いただきます。

    • 東証プライム上場企業グループ

      東証プライム上場企業グループ

      ネプラスは東証プライム上場「株式会社夢真ビーネックスグループ」のグループ企業です。

      安定した経営基盤とグループ間のスムーズな連携でコロナ禍でも安定した雇用を実現させています。

    ネプラス株式会社に興味を持った方へ

    ネプラス株式会社では、インフラエンジニアを募集しています。

    年収をアップしたい!スキルアップしたい!大手の上流案件にチャレンジしたい!
    オンライン面接も随時受付中。ぜひお気軽にご応募ください。

    ネプラス株式会社へのご応募はこちら↓
    ネプラス株式会社へのご応募はこちら↓

    新着案件New Job